js中eval

简介: js中eval

如果你来访我,我不在,请和我门外的花坐一会儿,它们很温暖,我注视他们很多很多日子了。——汪曾祺

今天发现这么一个函数eval

eval能够将传入的字符串当做js代码执行

例如处理json(请不要这样使用,正确的做法应该是使用JSON.parse(data)):

let data = '{"nane":"ruben","age":11}'
eval("("+data+")")

console.log(eval('2 + 2'));
// expected output: 4
console.log(eval(new String('2 + 2')));
// expected output: 2 + 2
console.log(eval('2 + 2') === eval('4'));
// expected output: true
console.log(eval('2 + 2') === eval(new String('2 + 2')));
// expected output: false

这个eval非常危险,常用于攻击、侵入网站

因此我们要禁止的话,可以根据CSP文档:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP

添加一个meta在页面的head

<meta http-equiv="Content-Security-Policy"
    content="default-src 'self' https://*; img-src https://*; child-src 'none';">

关键在于default-src属性的设置:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy/default-src

此处由于没有添加default-src 'unsafe-eval';所以提示禁止使用eval

Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive: "default-src 'self' https://*".


相关文章
|
7月前
|
JSON JavaScript 小程序
js中eval()的使用说明
js中eval()的使用说明
|
7月前
|
移动开发 JavaScript 前端开发
原生JavaScript+CSS实现计算器(简单的介绍一下eval函数)
原生JavaScript+CSS实现计算器(简单的介绍一下eval函数)
69 0
|
自然语言处理 JavaScript 前端开发
JavaScript中eval和with语句如何影响作用域链:探索深度知识
JavaScript中eval和with语句如何影响作用域链:探索深度知识
|
JavaScript
JS eval() 动态执行函数
JS eval() 动态执行函数
86 0
|
JavaScript 前端开发
用Eval实现基本运算——Javascript
用Eval实现基本运算——Javascript
90 0
用Eval实现基本运算——Javascript
|
自然语言处理 JavaScript 前端开发
JavaScript 中 Eval 函数的前世今生,执行代码字符串
JavaScript 中 Eval 函数的前世今生,执行代码字符串
108 0
JavaScript 中 Eval 函数的前世今生,执行代码字符串
|
JavaScript 前端开发
JS查漏补缺——with语句、eval函数
JS查漏补缺系列是我在学习JS高级语法时做的笔记,通过实践费曼学习法进一步加深自己对其的理解,也希望别人能通过我的笔记能学习到相关的知识点。这一次我们来了解with语句、eval函数
99 0
|
JavaScript 前端开发 Shell
开发中切忌使用的JavaScript语句 —— with语句 和 eval语句
开发中切忌使用的JavaScript语句 —— with语句 和 eval语句
161 0
|
自然语言处理 JavaScript 前端开发
js中的eval
js中的eval虽然很少用到但是我感觉还是有必要了解一下的